Хакеры стали всё чаще взламывать золотой стандарт кибербезопасности – системы EDR

Программное обеспечение Endpoint detection and response (EDR) стало популярным способом защиты от атак программ-вымогателей. Однако исследователи говорят, что взломы, связанные с этой технологией, хоть и редкие, но постепенно происходят всё чаще.

Источник изображения: freepik

По мере того, как хакерские атаки становятся все более разрушительными и всепроникающими, мощные инструменты защиты от таких компаний, как CrowdStrike Holdings и Microsoft, стали очень важны для индустрии кибербезопасности. Программное обеспечение для обнаружения конечных точек и реагирования на них (EDR) предназначено для обнаружения ранних признаков вредоносной активности на ноутбуках, компьютерах, серверах и других устройствах — «конечных точках» в компьютерной сети — и блокирования их до того, как злоумышленники смогут украсть данные или сами заблокируют устройство.

Однако эксперты говорят, что хакеры разработали обходные пути для некоторых форм технологии EDR, что позволило им обойти продукты, которые стали золотым стандартом для защиты критически важных систем. Исследователи из нескольких фирм, занимающихся кибербезопасностью, заявили, что количество атак, в которых EDR отключается или обходится, невелико, но растёт, и что хакеры становятся все более изобретательными в поиске способов обойти более надёжную защиту, которую он обеспечивает. По данным IDC, рынок EDR и других новых технологий безопасности конечных точек вырос на 27% и достиг 8,6 млрд долларов в мире в прошлом году, во главе с CrowdStrike и Microsoft.

Один ранее не сообщавшийся инцидент, раскрытый Bloomberg News, произошёл в октябре, когда датская группа безопасности CSIS расследовала взлом европейской производственной компании. По словам Яна Каструпа (Jan Kaastrup), директора по инновациям CSIS, хакеры использовали ранее неизвестную уязвимость в EDR Microsoft и упаковали вредоносное ПО таким образом, чтобы оно было обнаружено инструментом безопасности, который предупредил ИТ-команду жертвы о том, что атака была заблокирована.

Нарушение не было обнаружено до тех пор, пока жертва не заметила, что данные покидают корпоративную сеть, и не связалась с датской фирмой. Каструп добавил, что «программное обеспечение для безопасности не может работать само по себе — нам нужны глаза на экране в сочетании с технологиями».